🎁 ¡PcDays 2025! ¡PcComponentes baja los precios al mínimo histórico! [ Saber más ]
Una reciente investigación de ciberseguridad ha sacado a la luz una grave brecha de seguridad en McHire, la plataforma de solicitudes de empleo automatizadas utilizada por McDonald’s.
La vulnerabilidad permitió el acceso no autorizado a conversaciones y datos personales de más de 64 millones de solicitantes en Estados Unidos.
📱💻 ¡Chollazos! ¡Hemos seleccionado las mejores ofertas tecnológicas para que tú no pierdas tiempo! [ Saber más ]
Acceso total con contraseñas tan débiles como “123456”
Los investigadores Ian Carroll y Sam Curry descubrieron que la interfaz administrativa del chatbot de McHire —una herramienta desarrollada por Paradox.ai y utilizada por el 90% de las franquicias de McDonald’s— tenía una puerta de entrada extremadamente vulnerable: un nombre de usuario y contraseña configurados como “123456”.
A través de estas credenciales, los investigadores accedieron al panel de administración del sistema y simularon una solicitud de empleo para examinar su funcionamiento desde dentro.
Exposición masiva mediante un fallo de tipo IDOR
Durante su prueba, los investigadores detectaron que al enviar una solicitud de empleo se generaba una petición HTTP al endpoint /api/lead/cem-xhr, incluyendo un parámetro llamado lead_id. En su prueba, este ID era 64.185.742.
Al modificar este número —incrementándolo o decrementándolo—, descubrieron que podían visualizar transcripciones completas de chats, tokens de sesión y datos personales de otros usuarios que habían aplicado previamente.
Este tipo de fallo se conoce como IDOR (Insecure Direct Object Reference), una vulnerabilidad donde una aplicación expone identificadores internos sin verificar si el usuario tiene permisos para acceder a esa información.
Datos personales y conversaciones al descubierto
McHire, mediante su chatbot Olivia, recopila información sensible de los aspirantes: nombre completo, correo electrónico, número de teléfono, dirección, disponibilidad horaria e incluso respuestas a un test de personalidad.
La combinación del IDOR con el acceso administrativo sin seguridad permitió a los investigadores —y a cualquiera con acceso similar— extraer datos personales de millones de candidatos.
Respuesta rápida de McDonald’s y corrección inmediata
La vulnerabilidad fue reportada el 30 de junio a McDonald’s y Paradox.ai. La compañía de comida rápida respondió en menos de una hora, desactivando las credenciales predeterminadas de inmediato.
“Nos decepciona profundamente este fallo inaceptable de un proveedor externo. Tan pronto como conocimos el problema, ordenamos a Paradox.ai que implementara una solución inmediata”, declaró McDonald’s.
Paradox.ai promete auditoría y medidas de seguridad reforzadas
Tras el aviso, Paradox.ai corrigió la vulnerabilidad el mismo día y confirmó que se había mitigado por completo. Además, comunicó que se encuentra realizando una revisión exhaustiva de sus sistemas para evitar que fallos similares puedan repetirse en el futuro.
También aclararon que la información expuesta podría incluir cualquier tipo de interacción con el chatbot, como hacer clic en botones, aunque no se hubieran ingresado datos personales.